Détecter sur quels autres sites sont connectés les visiteurs d'un site
Lien court vers cette page : http://vt.cx/Dscv
QR code vers cette page : http://vt.cx/Dscv.qr
Sommaire
Présentation
Dans un article passionnant, Mike Cardwell explique comment il est possible d'exploiter les codes de status d'HTTP pour savoir sur quel autres sites sont connectés les visiteurs d'un site. Cette faculté est d'autant plus problématique qu'aujourd'hui il n'est pas rare d'être constamment connecté à sa messagerie (ex. Gmail, MSN, Yahoo!,... ), Facebook, Twitter et bien d'autres. Le présent article, sans rentrer dans une masse d'infos techniques très bien détaillée dans l'article cité plus haut, propose un remède simple faisant appel à des extensions pour navigateur et dont l'objet est de bloquer les requêtes transversales
Article de Mike Cardwell à :
https://grepular.com/Abusing_HTTP_Status_Codes_to_Expose_Private_Information
Extensions, plugins, addons, modules complémentaires
Chrome
- Chrome Web Store Extension KISS Privacy permet le blocage - site par site - des requêtes transversales.
Firefox
- Mozilla Foundation RequestPolicy Contrôle quelles requêtes cross-site sont autorisées. Améliore la vie privée durant la navigation. auto-sécurise contre les CSRF (sea-surfing) et autres attaques.